Les entreprises devront-elles avoir le privilège de riposter en cas d’attaque informatique ? C’est ce que compte introduire un nouveau projet de loi controversé dans l’État de Géorgie aux États-Unis. Intitulé “Hack-back”, ce projet de loi vise à permettre aux sociétés de passer à l’offensive si elles font face à une cyberattaque. Une mesure rejetée de toute part par les sociétés de tech du fait de ses implications dangereuses, un groupe de hacktivistes a également protesté contre ce projet de loi en s’attaquant aux sites web de l’Université Georgia Southern, deux restaurants et une église. Pour les opposants à ce projet de loi, rendre légitimes les attaques offensives va laisser la porte grande ouverte à un nouveau type de guerre entre les sociétés. Un autre groupe voit dans cette loi une menace sérieuse aux activités des hackers éthiques (white hat), en effet, si une telle loi venait d’être adoptée, les activités comme la recherche de vulnérabilités et les tests d’intrusion seront criminalisées.
Dans une lettre envoyée au gouverneur, Microsoft et Google ont statué que ce projet de loi « va transformer l’État de Géorgie en un laboratoire pour les pratiques de cybersécurité offensives qui pourraient avoir des conséquences imprévues et qui n’ont pas été autorisées par d’autres juridictions. » Les deux géants craignent aussi que de telles dispositions puissent mener facilement à des abus et des actions anti-compétitives au lieu de servir pour protéger.
« Cette disposition telle qu'elle est libellée autorise le piratage d’autres réseaux et systèmes sous le couvert indéfini de cybersécurité… Avant que la Géorgie n’approuve l’autorité ‘hack back’ pour la défense ou même pour anticiper une attaque potentielle sans critères légaux, elle devrait avoir une compréhension plus approfondie des répercussions d’une telle politique. »
Les membres de la communauté de sécurité s’inquiètent quant à eux des formulations vagues du projet de loi. S’il est voté, l’accès non autorisé à ordinateur est criminalisé, de même tout accès à un ordinateur ou réseau n’est valide que s’il est mené dans le cadre d’une « activité de business légitime ». Les membres de la communauté de sécurité craignent que de telles dispositions rendent la vie dure aux chercheurs en sécurité, puisqu’ils seront plus vulnérables aux amendes ou même le risque d’aller en prison.
Tripwire a également envoyé une lettre au bureau du gouverneur de Géorgie arguant que ce projet de loi va augmenter le risque de cybersécurité. « Selon les formulations de S.B. 315, les chercheurs en sécurités bien-intentionnés pourraient être visés par des poursuites criminelles quand ils suivent les meilleures pratiques de l’industrie pour évaluer la protection d’un site web contre une cyberattaque potentielle, » a écrit la firme de sécurité. « Nous avons l’intime conviction qu’il y a un besoin d’une exception pour exclure la poursuite quand l’acteur en question agit en bonne attention pour protéger une entreprise ou ses clients d’une attaque. Sans cette exclusion, S.B. 315 va décourager les bons acteurs de rapporter les vulnérabilités et va ultimement augmenter le risque de voir des adversaires trouver et exploiter les faiblesses sous-jacentes. »
L’entreprise a aussi noté que le langage imprécis employé par le projet de loi pourrait impacter la pratique de divulgation responsable : « Quand tous les moyens raisonnables pour informer un vendeur ont été utilisés ou que le vendeur montre sa non-volonté d’agir après avoir reçu l’information, il est quelques fois approprié de diffuser publiquement des détails limités sur la menace de sécurité pour que les individus affectés et les organisations puissent prendre les actions appropriées pour se protéger. Les définitions vagues dans S.B. 315 pourraient permettre aux vendeurs de mener des poursuites futiles afin de mettre le couvert sur leurs manquements en sécurité. »
Avec un tel projet de loi, difficile de voir les firmes résister la tentation d’entrer dans une cyberguerre sans fin pour s’assurer des avantages commerciaux, la concrétisation directe de la vision dystopique de Gibson. Sans parler des hackers qui vont s’amuser à mener des attaques à partir d’un réseau innocent pour déclencher une riposte d’un autre.
Source : Lettre de Microsoft et Google - Tripwire
Et vous ?
Que pensez-vous de ce projet de loi ? Pensez-vous qu'une entreprise en cas de cyberattaque doit riposter ? Pensez-vous que les entreprises doivent avoir ce droit ?Voir aussi :
Des hackers profitent du lancement du RGDP pour lancer des attaques de type « phishing » Airbnb s'offusque de l'utilisation de son image Dix géants de la Silicon Valley regroupés autour du RGS réaffirment leur opposition à la loi anti-chiffrement, et s'accordent sur six principes 86 % des MdP disponibles en clair de la société CashCrate avaient déjà été compromis, Troy Hunt s'indigne des mauvaises pratiques dans l'industrie 
